Pwnd Blaster: 스피커를 전혀 만지지 않고 스피커로 PC 해킹하기

Context

Creative Sound Blaster Katana V2X는 USB 연결 기반의 사운드바로 CTP(Creative Tool Protocol)를 통해 설정을 변경하는 구조임. USB 경로는 Challenge-Response 인증을 요구하지만, BLE GATT characteristic 경로는 동일한 CTP 명령을 인증 없이 수용하는 설계 결함이 존재함.

Technical Solution

• BLE GATT characteristic을 통한 인증 우회로 펌웨어 버전 확인 및 쓰기 권한 획득
• 서명 검증 없는 SHA-256 체크섬 기반의 펌웨어 업데이트 프로세스를 이용한 커스텀 펌웨어 플래싱
• USB Report Descriptor에 HID Keyboard 항목을 추가하여 장치를 신뢰된 입력 장치로 오인하게 만드는 구조 설계
• 기존 Diagnostic FreeRTOS 태스크를 덮어쓰는 방식으로 Watchdog 재부팅을 회피하며 부팅 시 자동 실행 로직 구현
• USB 서브시스템 준비 대기 후 20ms 간격의 키 입력 전송 루틴을 통해 임의의 쉘 명령 실행 유도